Obveščevalne službe kupujejo varnostne luknje za napade ničelnega dne

Da varnostne službe vohunijo za uporabniki računalniških sistemov, ni novost. To se je več kot dobro pokazalo v primeru kraje izvorne kode varnostnih rešitev Norton Antivirus in pcAnywhere podjetja Symantec. Heker je namreč pri natančnem pregledu izvorne kode ugotovil, da so bile te »opremljene« s stranskimi vrati. Ta so vladne in varnostne službe širom sveta s pridom izkoriščale za izvajanje nadzora tako nad posamezniki kot podjetji.

Raziskovalec s področja informacijske varnosti iz Bangkoka pa je pred kratkim razkril, da varnostno-obveščevalne službe širom sveta celo plačujejo hekerjem za razkrivanje varnostnih lukenj v priljubljeni programski opremi. Tu dejansko gre za tiste varnostne pomanjkljivosti, ki jih je mogoče uporabiti za izvajanje napadov ničelnega dne (Zero-day attack). Za te ranljivosti kakopak vedo le posamezniki ali kriminalne združbe, ki so napako v programski kodi odkrili. Varnostne službe lahko varnostno ranljivost brezskrbno izkoriščajo vse do objave varnostnega popravka.

Prodaja varnostnih pomanjkljivosti, ki jih je mogoče uporabiti za izvajanje napadov ničelnega dne, poteka po principu »kdo da več« oziroma licitacije. Posel z razkrivanjem varnostnih pomanjkljivosti je nadvse donosen, saj so ameriške varnostno-obveščevalne službe za doslej še neznano varnostno luknjo v operacijskem sistemu iOS pripravljene odšteti do preračunanih 190 tisoč evrov. Nadvse donosne so tudi varnostne ranljivosti v spletnih brskalnikih Internet Explorer in Google Chrome. Zanje obveščevalci odštejejo tudi do preračunanih 150 tisoč evrov. Za odkrite varnostne ranljivosti v mobilnem operacijskem sistemu Android pa so ti pripravljeni plačati le preračunanih 45 tisoč evrov. »Cenik hekerskih storitev« si lahko ogledate na spletnem naslovu http://goo.gl/FeXzc.